In diesem Dokument wird beschrieben, wie Sie eine Software-Bestellliste (Software Bill of Materials, SBOM) erstellen und speichern, in der die Abhängigkeiten in Ihren Container-Images aufgeführt sind.
Wenn Sie Container-Images in Artifact Registry speichern und sie mit der Artefaktanalyse auf Sicherheitslücken prüfen, können Sie mit der Google Cloud CLI eine SBOM generieren.
Informationen zur Verwendung des Scannens auf Sicherheitslücken finden Sie unter Automatisches Scannen und Preise.
Bei der Artefaktanalyse werden SBOMs in Cloud Storage gespeichert. Weitere Informationen zu den Kosten für Cloud Storage finden Sie unter Preise.
Container Registry-Repositories (verworfen) werden nicht unterstützt. Weitere Informationen zur Umstellung von Container Registry
Hinweise
-
Sign in to your Google Account.
If you don't already have one, sign up for a new account.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Artifact Registry, Container Analysis, Container Scanning APIs.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init - Erstellen Sie ein Docker-Repository in Artifact Registry und verschieben Sie ein Container-Image in das Repository. Wenn Sie mit Artifact Registry nicht vertraut sind, lesen Sie die Docker-Kurzanleitung.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Storage Admin (roles/storage.admin) für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Cloud Storage-Buckets und zum Hochladen von SBOM-Dateien benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
SBOM-Datei generieren
Verwenden Sie den folgenden Befehl, um eine SBOM-Datei zu generieren:
gcloud artifacts sbom export --uri=URI
Dabei gilt:
- URI ist der Artifact Registry-Image-URI, der in der SBOM-Datei beschrieben wird, ähnlich wie
us-east1-docker.pkg.dev/my-image-repo/my-image. Bilder können entweder im Tag-Format oder im Digest-Format vorliegen. Bilder im Tag-Format werden in das Digest-Format umgewandelt.
Bei der Artefaktanalyse wird Ihre SBOM in Cloud Storage gespeichert.
Sie können SBOMs mit der Google Cloud Console oder der gcloud CLI aufrufen. Wenn Sie den Cloud Storage-Bucket mit Ihren SBOMs finden möchten, müssen Sie mit der gcloud CLI nach SBOMs suchen.
SBOM ohne Scannen auf Sicherheitslücken generieren
Wenn Sie eine SBOM generieren, aber kein fortlaufendes Scannen auf Sicherheitslücken für Ihr Projekt wünschen, können Sie trotzdem eine SBOM exportieren, wenn Sie die Container Scanning API aktivieren, bevor Sie das Image in die Artifact Registry pushen. Nachdem Ihr Image an Artifact Registry gepusht und Sie eine SBOM exportiert haben, müssen Sie die Container Scanning API deaktivieren, damit Ihnen keine weiteren Scans auf Sicherheitslücken in Rechnung gestellt werden.